Les éditeurs traditionnels de l’informatique et de la cybersécurité sont capables d’adresser cette nouvelle révolution technologique de multiples façons mais ils devront, tôt ou tard relever un certain nombre de nouveaux défis :

Défi 1 : Répondre à des exigences de grande envergure

Les machines industrielles doivent souvent produire des centaines de milliers d’unités par semaine, chacune ayant son propre certificat et sa propre identité. Ces certificats doivent être délivrés aussi rapidement que les unités sortent de la chaîne de production.
Le simple inventaire de tous les certificats délivrés - sans prendre en compte leur gestion et leur mise à jour - est une entreprise de grande ampleur, en particulier lorsque leur le cycle de vie est court.
42% des entreprises utilisent des feuilles de calcul pour suivre manuellement les certificats numériques, et 57 % ne disposent pas d’un inventaire précis de leurs clés SSH. Par conséquent, jusqu’à 40 % des identités des machines ne sont pas contrôlées.

Défi 2 : Adopter le Zero-Trust

Les unités de contrôle électronique (UCE) automobiles - qui vérifient les systèmes de sécurité, de transmission et d’info-divertissement des véhicules - sont fabriquées via une chaîne d’approvisionnement gigantesque comportant plusieurs points d’entrée, potentiellement exploitables par des hackers. Par ailleurs, les produits de cette chaîne logistique sont déployés dans des environnements inconnus qui peuvent utiliser des contrôles de sécurité vieux de plusieurs décennies. Les fabricants ne peuvent pas laisser la sécurité de leurs produits dépendre de l’utilisateur final, car toute violation de données peut potentiellement nuire à leur réputation.
La technologie IoT doit adopter une approche Zero Trust en matière de sécurité, tant pour les identités humaines que pour les machines. Ce modèle - qui n’accorde par nature aucune confiance - ne se contente pas d’ajouter une fonctionnalité de sécurité, mais l’intègre dès la conception du produit et tout au long de son cycle de vie.
En outre, l’appareil doit s’intégrer à un large éventail de systèmes adjacents, qui n’adhèrent pas forcément aux mêmes normes de sécurité. Les réglementations et les normes industrielles étant encore en élaboration dans la sphère IoT, les fabricants sont confrontés à des outils hétérogènes. Protéger ses produits, tout en les rendant interopérables est donc un défi de taille.

Défi 3 : Une sécurité pensée à posteriori

La sécurité est rarement un argument de vente pour un appareil IoT. Ce qui compte, c’est le bon fonctionnement du produit, son efficacité, son coût, etc. Les fabricants de produits IoT ne peuvent pas augmenter le prix de leurs produits en utilisant la sécurité comme argument. Par conséquent, ils doivent veiller à ce que les mesures de sécurité n’impactent pas l’expérience utilisateur et son efficacité.
Les réflexions relatives à la sécurité doivent être prises en compte tout au long du processus de développement et de fabrication du produit. Si la sécurité fait partie du dispositif dès le début et qu’elle adopte une approche "Security by Design", elle génèrera moins de frictions dans le cycle de lancement du produit et impactera moins les marges bénéficiaires.

Défi 4 : Trouver un équilibre entre sécurité et fonctionnalité

Permettre aux entreprises de superviser les opérations sur Internet est un facteur vital, mais, dès qu’un appareil se connecte, il induit un nouveau risque. Le fabricant d’un produit doit donc assurer à la fois la sécurité et l’interconnectivité afin d’éviter les conséquences désastreuses pour l’entreprise d’une violation des données.
Cet exercice d’équilibre peut être difficile, surtout si la phase de conception s’oriente vers un modèle Agile ou DevOps. Les fabricants s’épanouissent dans le changement et l’innovation, tandis que les responsables de la sécurité préfèrent la stabilité et la prévisibilité.

Cinquième défi : Respecter les normes de conformité

L’IoT va connaître une évolution considérable au cours des prochaines années. Les nouveaux usages, les nouvelles technologies et menaces entraîneront de nouvelles réglementations. Mais si la sécurité n’est pas une priorité absolue pour les développeurs de l’IoT, la conformité sera toujours un obstacle.
L’environnement réglementaire autour de la sécurité de l’IoT diffère selon les pays et une entreprise qui veut commercialiser un produit globalement doit le concevoir pour qu’il soit conforme quel que soit la réglementation (GDPR en Europe, PIPL en Chine, LGPD au Brésil, ...). Ces réglementations en matière de protection de la vie privée sont en train d’être étendues pour inclure les dispositifs IoT, et les entreprises peuvent faire appel à des consultants spécialisés pour les accompagner parmi ces différentes mises en conformité.

Les risques liés à une sécurité IoT pensée à posteriori

Selon IoT Analytics, le marché mondial de l’IoT a connu une croissance de plus de 22 % en 2021 et devrait continuer à augmenter de la même façon jusqu’en 2027. Ce secteur relativement nouveau connaît de nombreux problèmes de croissance, et les entreprises ne savent pas exactement qui est responsable de quoi en matière de sécurité. L’optimisation en matière de sécurité des dispositifs IoT ne sera possible que lorsque les responsables de la conception, des opérations et de la sécurité reconnaîtront qu’ils doivent agir de concert. Les meilleurs produits IoT seront construits par des fabricants qui intègreront la sécurité et la conformité réglementaire dès la conception de leurs appareils.